Tratto dallo speciale:

Sicurezza informatica per PMI: online le linee guida

di Alessia Valentini

Pubblicato 25 Giugno 2014
Aggiornato 2 Luglio 2014 10:03

logo PMI+ logo PMI+
Se si pensa che la tecnologia da sola possa risolvere i problemi di sicurezza, allora non si capiscono i problemi né la tecnologia (Bruce Schneier, esperto di sicurezza IT).

Nonostante i riscontri certi delle attività di spionaggio informatico a loro carico, le PMI non adottano strategie di cybersecurity o sembrano meno pronte a farlo. Ne abbiamo parlato con Stefano Mele, esperto di diritto delle tecnologie, privacy e sicurezza delle informazioni. Autore de I principi strategici delle politiche di cybersecurity, ha delineato alcune best practice che contribuiscano alla cultura della sicurezza informatica tra le piccole imprese italiane, il cui approccio è ancora improntato alla reazione e non alla prevenzione.

=> Speciale Sicurezza Informatica

Emergenza in atto

La completa digitalizzazione dei dati aziendali, il loro conseguente accentramento e la scarsa percezione dei pericoli derivanti dall’utilizzo delle ICT, ha fatto sì che lo spionaggio elettronico costituisca, da dieci anni, una delle principali minacce alla competitività economica delle aziende e, di conseguenza, anche alla sicurezza nazionale ed economica. Eppure, piuttosto che un investimento a garanzia del business e della competitività, la sicurezza viene percepita come mero costo dai benefici non immediatamente rilevabili. Il mercato odierno è sempre più aperto ad attacchi informatici con effetti in tempo reale, ma neppure gli obblighi minimi di sicurezza riescono a sbloccare la situazione totale emergenza per tutte le e aziende italiane.

Sensibilizzare e informare

La diffusione e promozione a tutti i livelli della cultura della sicurezza informatica è fondamentale. Arginare le minacce informatiche rischi attraverso una corretta sensibilizzazione diventa un’esigenza non soltanto a tutela dei dati aziendali e del know-how italiano ma anche un’azione di contrasto della criminalità a beneficio dell’economia italiana. In questo senso, sono da premiare gli sforzi che il Sistema di Informazione per la Sicurezza della Repubblica, messi in atto da circa un anno nel campo della cybersecurity.

=> Il Piano di Governo sulla Sicurezza Informatica

Non è un caso che il “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” (cyber-strategy) ponga tra i pilastri strategici per potenziare le “capacità cibernetiche del Paese” la promozione della cultura della sicurezza tra i cittadini e istituzioni, anche attraverso un crescente coinvolgimento del mondo della ricerca per accrescere il livello di consapevolezza e di conoscenza di minacce e rischi. A livello istituzionale, è un esempio di questo impegno il ruolo svolto dalla Scuola di formazione del Dipartimento delle Informazioni per la Sicurezza (DIS).

Cybersecurity

La cybersecurity è protagonista dell’agenda politica italiana, allineata alle cyberstrategy dei paesi europei su sicurezza, affidabilità e resilienza di reti e sistemi informatici.   Occorre far comprendere quanto sicurezza informatica ed economica siano complementari e parte integrante della medesima strategia nazionale. Come? In primis ponendo l’accento sulla protezione dei dati personali e sulla messa in sicurezza delle informazioni alla base del know-how italiano.

Best practice

Il Dpcm 24 gennaio 2013 (art. 11) si allinea a questa esigenza responsabilizzando i gestori delle reti e chiedendo l’adeguamento delle infrastrutture alle indicazioni dell’art. 16-bis, comma 1, lett. a) del Dl 259/2003 e dell’art. 5, comma 3, lett. d) del Dpcm stesso.

=> Sicurezza nelle PMI a misura di Budget IT

A livello di singola azienda è necessario rendere resiliente il complesso digitale hardware e software valutando correttamente le proprie attività core e le applicazioni ad esse corrispondenti, scegliendo la protezione più adeguata per ogni asset aziendale. In Le best practice in materia di cyber-security per le PMI, Mele suggerisce 15 linee guida che costituiscono una roadmap delle “cose da fare” per rendere più sicuri i sistemi informatici e mitigare i rischi derivanti da attacchi informatici.